從BlueXP在Azure中建立連接器
步驟 1 :設定網路
請確定您計畫安裝 Connector 的網路位置支援下列需求。滿足這些需求後、 Connector 便能在混合雲環境中管理資源和程序。
- Azure地區
-
如果您使用 Cloud Volumes ONTAP 、 Connector 應部署在與其管理的 Cloud Volumes ONTAP 系統所在的同一個 Azure 區域、或部署在中 "Azure區域配對" 適用於整個系統。Cloud Volumes ONTAP這項需求可確保Cloud Volumes ONTAP Azure Private Link連線可用於連接至相關的儲存帳戶。
- vnet 和子網路
-
建立 Connector 時、您需要指定 Connector 應位於的 vnet 和子網路。
- 連線至目標網路
-
Connector 需要網路連線、才能連線到您計畫建立和管理工作環境的位置。例如、您計畫在內部部署環境中建立 Cloud Volumes ONTAP 系統或儲存系統的網路。
- 傳出網際網路存取
-
您部署 Connector 的網路位置必須具有傳出網際網路連線、才能連絡特定端點。
- 已從 Connector 聯絡的端點
-
Connector 需要外傳網際網路存取才能連絡下列端點、以便管理公有雲環境中的資源和程序、以進行日常營運。
請注意、下列端點均為所有的 CNAME 項目。
端點 目的 https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net管理Azure公共區域的資源。
https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn管理Azure中國地區的資源。
https://support.netapp.com
https://mysupport.netapp.com以取得授權資訊、並將AutoSupport 資訊傳送給NetApp支援部門。
https://*.api 。 BlueXP NetApp 。 NetApp 。 com https://api 。 BlueXP 。 com https://*.cloudmanager.cloud 。 NetApp 。 com https://cloudmanager.cloud 。 NetApp 。 com 。 https : NetApp-cloud-account.auth0.com
在BlueXP中提供SaaS功能與服務。
請注意、 Connector 目前正在聯絡「 cloudmanager.cloud.netapp.com" 」、但在即將推出的版本中、會開始聯絡「 api.bluexp.netapp.com" 」。
在兩組端點之間選擇:
-
選項 1 (建議) 1
https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io
-
選項2
https://*.blob.core.windows.net https://cloudmanagerinfraprod.azurecr.io
取得 Connector 升級的映像。
1 建議使用選項 1 中列出的端點,因為它們更安全。建議您設定防火牆,以允許選項 1 中列出的端點,同時禁止選項 2 中列出的端點。請注意下列關於這些端點的資訊:
-
從 3.9.47 版本的 Connector 開始,支援選項 1 中列出的端點。與先前版本的 Connector 沒有回溯相容性。
-
Connector 會先聯絡選項 2 中列出的端點。如果無法存取這些端點, Connector 會自動連絡選項 1 中列出的端點。
-
如果您使用 Connector 搭配 BlueXP 備份與還原或 BlueXP 勒索軟體保護,則不支援選項 1 中的端點。在這種情況下,您可以不允許選項 1 中列出的端點,同時允許選項 2 中列出的端點。
-
- 從 BlueXP 主控台連絡的端點
-
當您使用透過 SaaS 層提供的 BlueXP 網路型主控台時、它會與多個端點聯絡、以完成資料管理工作。這包括透過 BlueXP 主控台聯絡以部署 Connector 的端點。
- Proxy伺服器
-
如果您的企業需要為所有傳出的網際網路流量部署 Proxy 伺服器、請取得下列關於 HTTP 或 HTTPS Proxy 的資訊。您必須在安裝期間提供此資訊。請注意、 BlueXP 不支援透明 Proxy 伺服器。
-
IP 位址
-
認證資料
-
HTTPS憑證
-
- 連接埠
-
除非您啟動連接器、或使用連接器做為 Proxy 、將 AutoSupport 訊息從 Cloud Volumes ONTAP 傳送至 NetApp 支援、否則不會有傳入的流量傳入連接器。
-
HTTP(80)和HTTPS(443)可存取本機UI、在極少數情況下使用。
-
只有在需要連線至主機進行疑難排解時、才需要SSH(22)。
-
如果您在無法使用輸出網際網路連線的子網路中部署 Cloud Volumes ONTAP 系統、則需要透過連接埠 3128 進行輸入連線。
如果 Cloud Volumes ONTAP 系統沒有輸出網際網路連線來傳送 AutoSupport 訊息、 BlueXP 會自動將這些系統設定為使用 Connector 隨附的 Proxy 伺服器。唯一的需求是確保連接器的安全群組允許透過連接埠3128進行傳入連線。部署Connector之後、您需要開啟此連接埠。
-
- 啟用 NTP
-
如果您打算使用 BlueXP 分類來掃描公司資料來源、則應該在 BlueXP Connector 系統和 BlueXP 分類系統上啟用網路時間傳輸協定( NTP )服務、以便在系統之間同步時間。 "深入瞭解 BlueXP 分類"
建立 Connector 之後、您必須實作此網路需求。
步驟 2 :建立自訂角色
建立可指派給 Azure 帳戶或 Microsoft Entra 服務主體的 Azure 自訂角色。BlueXP 會驗證 Azure 、並使用這些權限代表您建立 Connector 執行個體。
請注意、您可以使用 Azure 入口網站、 Azure PowerShell 、 Azure CLI 或 REST API 來建立 Azure 自訂角色。下列步驟說明如何使用 Azure CLI 建立角色。如果您想要使用不同的方法、請參閱 "Azure文件"
-
複製Azure中新自訂角色所需的權限、並將其儲存在Json檔案中。
此自訂角色僅包含從 BlueXP 在 Azure 中啟動 Connector VM 所需的權限。請勿在其他情況下使用此原則。當 BlueXP 建立 Connector 時、它會將一組新的權限套用至 Connector VM 、讓 Connector 能夠管理 Azure 資源。 { "Name": "Azure SetupAsService", "Actions": [ "Microsoft.Compute/disks/delete", "Microsoft.Compute/disks/read", "Microsoft.Compute/disks/write", "Microsoft.Compute/locations/operations/read", "Microsoft.Compute/operations/read", "Microsoft.Compute/virtualMachines/instanceView/read", "Microsoft.Compute/virtualMachines/read", "Microsoft.Compute/virtualMachines/write", "Microsoft.Compute/virtualMachines/delete", "Microsoft.Compute/virtualMachines/extensions/write", "Microsoft.Compute/virtualMachines/extensions/read", "Microsoft.Compute/availabilitySets/read", "Microsoft.Network/locations/operationResults/read", "Microsoft.Network/locations/operations/read", "Microsoft.Network/networkInterfaces/join/action", "Microsoft.Network/networkInterfaces/read", "Microsoft.Network/networkInterfaces/write", "Microsoft.Network/networkInterfaces/delete", "Microsoft.Network/networkSecurityGroups/join/action", "Microsoft.Network/networkSecurityGroups/read", "Microsoft.Network/networkSecurityGroups/write", "Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read", "Microsoft.Network/virtualNetworks/read", "Microsoft.Network/virtualNetworks/subnets/join/action", "Microsoft.Network/virtualNetworks/subnets/read", "Microsoft.Network/virtualNetworks/subnets/virtualMachines/read", "Microsoft.Network/virtualNetworks/virtualMachines/read", "Microsoft.Network/publicIPAddresses/write", "Microsoft.Network/publicIPAddresses/read", "Microsoft.Network/publicIPAddresses/delete", "Microsoft.Network/networkSecurityGroups/securityRules/read", "Microsoft.Network/networkSecurityGroups/securityRules/write", "Microsoft.Network/networkSecurityGroups/securityRules/delete", "Microsoft.Network/publicIPAddresses/join/action", "Microsoft.Network/locations/virtualNetworkAvailableEndpointServices/read", "Microsoft.Network/networkInterfaces/ipConfigurations/read", "Microsoft.Resources/deployments/operations/read", "Microsoft.Resources/deployments/read", "Microsoft.Resources/deployments/delete", "Microsoft.Resources/deployments/cancel/action", "Microsoft.Resources/deployments/validate/action", "Microsoft.Resources/resources/read", "Microsoft.Resources/subscriptions/operationresults/read", "Microsoft.Resources/subscriptions/resourceGroups/delete", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.Resources/subscriptions/resourcegroups/resources/read", "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Authorization/roleDefinitions/write", "Microsoft.Authorization/roleAssignments/write", "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/read", "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/write", "Microsoft.Network/networkSecurityGroups/delete", "Microsoft.Storage/storageAccounts/delete", "Microsoft.Storage/storageAccounts/write", "Microsoft.Resources/deployments/write", "Microsoft.Resources/deployments/operationStatuses/read", "Microsoft.Authorization/roleAssignments/read" ], "NotActions": [], "AssignableScopes": [], "Description": "Azure SetupAsService", "IsCustom": "true" }
-
將您的Azure訂閱ID新增至可指派的範圍、以修改Json。
-
範例 *
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz" ],
-
-
使用 Json 檔案在 Azure 中建立自訂角色。
下列步驟說明如何在Azure Cloud Shell中使用Bash建立角色。
-
開始 "Azure Cloud Shell" 並選擇Bash環境。
-
上傳Json檔案。
-
輸入下列Azure CLI命令:
az role definition create --role-definition Policy_for_Setup_As_Service_Azure.json
您現在應該擁有名為 Azure Setup AsService 的自訂角色。您現在可以將此自訂角色套用至您的使用者帳戶或服務主體。
-
步驟 3 :設定驗證
從 BlueXP 建立 Connector 時、您需要提供登入資訊、讓 BlueXP 能夠與 Azure 驗證並部署 VM 。您有兩種選擇:
-
收到提示時、請使用 Azure 帳戶登入。此帳戶必須具有特定的Azure權限。這是預設選項。
-
提供 Microsoft Entra 服務主體的詳細資料。此服務主體也需要特定權限。
請依照下列步驟準備其中一種驗證方法、以搭配 BlueXP 使用。
將自訂角色指派給將從 BlueXP 部署 Connector 的使用者。
-
在 Azure 入口網站中、開啟 * 訂閱 * 服務、然後選取使用者的訂閱。
-
按一下 * 存取控制( IAM ) * 。
-
按一下「 * 新增 * > * 新增角色指派 * 」、然後新增權限:
-
選取「* Azure Setup AsService*」角色、然後按一下「* Next*」。
Azure Setup AsService是Azure的Connector部署原則中提供的預設名稱。如果您為角色選擇不同的名稱、請改為選取該名稱。 -
保留*選取「使用者」、「群組」或「服務主體」*。
-
按一下*選取成員*、選擇您的使用者帳戶、然後按一下*選取*。
-
單擊 * 下一步 * 。
-
按一下「檢閱+指派」。
-
Azure使用者現在擁有從BlueXP部署Connector所需的權限。
您可以為 BlueXP 提供具有必要權限的 Azure 服務主體認證、而非使用 Azure 帳戶登入。
在 Microsoft Entra ID 中建立並設定服務主體、並取得 BlueXP 所需的 Azure 認證。
-
確保您在 Azure 中擁有建立 Active Directory 應用程式及將應用程式指派給角色的權限。
如需詳細資訊、請參閱 "Microsoft Azure 說明文件:必要權限"
-
從 Azure 入口網站開啟 * Microsoft Entra ID* 服務。
-
在功能表中、選取 * 應用程式註冊 * 。
-
選取 * 新登錄 * 。
-
指定應用程式的詳細資料:
-
* 名稱 * :輸入應用程式的名稱。
-
帳戶類型:選取帳戶類型(任何帳戶類型均可用於BlueXP)。
-
重新導向URI:您可以將此欄位保留空白。
-
-
選擇*註冊*。
您已建立 AD 應用程式和服務主體。
-
從 Azure 入口網站開啟 * 訂閱 * 服務。
-
選取訂閱。
-
按一下 * 存取控制( IAM ) > 新增 > 新增角色指派 * 。
-
在「角色」索引標籤中、選取「藍圖XP操作員」角色、然後按一下「下一步」。
-
在「成員」索引標籤中、完成下列步驟:
-
保留*選取「使用者」、「群組」或「服務主體」*。
-
按一下*選取成員*。
-
搜尋應用程式名稱。
範例如下:
-
選取應用程式、然後按一下*選取*。
-
單擊 * 下一步 * 。
-
-
按一下「檢閱+指派」。
服務主體現在擁有部署Connector所需的Azure權限。
如果您想要在多個 Azure 訂閱中管理資源、則必須將服務主體繫結至每個訂閱。例如、 BlueXP 可讓您選取部署 Cloud Volumes ONTAP 時要使用的訂閱。
-
在 * Microsoft Entra ID* 服務中、選取 * 應用程式登錄 * 、然後選取應用程式。
-
選取 * API 權限 > 新增權限 * 。
-
在「 * Microsoft API* 」下、選取「 * Azure 服務管理 * 」。
-
選取 * 以組織使用者身分存取 Azure 服務管理 * 、然後選取 * 新增權限 * 。
-
在 * Microsoft Entra ID* 服務中、選取 * 應用程式登錄 * 、然後選取應用程式。
-
複製 * 應用程式(用戶端) ID* 和 * 目錄(租戶) ID* 。
將Azure帳戶新增至BlueXP時、您必須提供應用程式的應用程式(用戶端)ID和目錄(租戶)ID。BlueXP使用ID以程式設計方式登入。
-
開啟 * Microsoft Entra ID* 服務。
-
選取 * 應用程式註冊 * 、然後選取您的應用程式。
-
選取 * 「憑證與機密」 > 「新用戶端機密」 * 。
-
提供機密與持續時間的說明。
-
選取*「Add*」。
-
複製用戶端機密的值。
您現在擁有一個客戶機密、 BlueXP 可以使用它來驗證 Microsoft Entra ID 。
您的服務主體現在已設定完成、您應該已經複製應用程式(用戶端) ID 、目錄(租戶) ID 、以及用戶端機密的值。建立Connector時、您必須在BlueXP中輸入此資訊。
步驟 4 :建立 Connector
直接從 BlueXP 網路型主控台建立 Connector 。
-
從 BlueXP 建立 Connector 會使用預設組態、在 Azure 中部署虛擬機器。建立 Connector 之後、不應變更為 CPU 或 RAM 較少的較小 VM 類型。 "瞭解連接器的預設組態"。
-
當 BlueXP 部署 Connector 時、它會建立自訂角色、並將其指派給 Connector VM 。此角色包含可讓 Connector 管理 Azure 資源的權限。您必須確保角色在後續版本中新增權限時保持在最新狀態。 "深入瞭解 Connector 的自訂角色"。
您應該擁有下列項目:
-
Azure 訂閱。
-
您所選擇的 Azure 區域中的 Vnet 和子網路。
-
若貴組織需要代理處理所有傳出的網際網路流量、請參閱Proxy伺服器的詳細資料:
-
IP 位址
-
認證資料
-
HTTPS憑證
-
-
SSH 公開金鑰、如果您想要將該驗證方法用於 Connector 虛擬機器。驗證方法的另一個選項是使用密碼。
-
如果您不想讓BlueXP自動為Connector建立Azure角色、則需要自行建立 "使用此頁面上的原則"。
這些權限適用於Connector執行個體本身。這是一組不同於您先前設定的權限、可用來部署 Connector VM 。
-
選取 * Connector * 下拉式清單、然後選取 * 新增 Connector * 。
-
選擇 * Microsoft Azure * 作為雲端供應商。
-
在*部署連接器*頁面上:
-
在 * 驗證 * 下、選取符合您設定 Azure 權限方式的驗證選項:
-
選取 * Azure 使用者帳戶 * 以登入您的 Microsoft 帳戶、該帳戶應具有必要的權限。
此表單由 Microsoft 擁有及託管。您的認證資料不會提供給 NetApp 。
如果您已經登入Azure帳戶、則BlueXP會自動使用該帳戶。如果您有多個帳戶、則可能需要先登出、以確保您使用的是正確的帳戶。 -
選取 * Active Directory 服務主體 * 以輸入 Microsoft Entra 服務主體的相關資訊、以授予必要的權限:
-
應用程式(用戶端)ID
-
目錄(租戶)ID
-
用戶端機密
-
-
-
-
依照精靈中的步驟建立連接器:
-
* VM 驗證 * :選擇 Azure 訂閱、位置、新資源群組或現有資源群組、然後為您正在建立的 Connector 虛擬機器選擇驗證方法。
虛擬機器的驗證方法可以是密碼或 SSH 公開金鑰。
-
詳細資料:輸入執行個體的名稱、指定標記、然後選擇是否要BlueXP建立具有所需權限的新角色、或是要選取所設定的現有角色 "必要的權限"。
請注意、您可以選擇與此角色相關的 Azure 訂閱。您選擇的每個訂閱都會提供 Connector 權限、以管理該訂閱中的資源(例如 Cloud Volumes ONTAP )。
-
* 網路 * :選擇 Vnet 和子網路、是否啟用公用 IP 位址、以及是否指定 Proxy 組態(選用)。
-
* 安全性群組 * :選擇是否要建立新的安全性群組、或是選擇允許所需輸入和輸出規則的現有安全性群組。
-
審查:請檢閱您的選擇、確認您的設定正確無誤。
-
-
按一下「 * 新增 * 」。
虛擬機器應在約 7 分鐘內就緒。您應該留在頁面上、直到程序完成為止。
程序完成後、即可從 BlueXP 使用 Connector 。
如果您在建立 Connector 的同一個 Azure 訂閱中擁有 Azure Blob 儲存設備、則會在 BlueXP 畫布上自動顯示 Azure Blob 儲存設備工作環境。 "瞭解如何從 BlueXP 管理 Azure Blob 儲存設備"